Практики безпечного обміну файлами

Що ви дізнаєтесь у Практики безпечного обміну файлами

• Обирати відповідний метод обміну для різних типів даних, оцінюючи рівень чутливості, отримувача та доступні затверджені інструменти
• Налаштовувати посилання на обмін файлами з належними параметрами дозволів, включаючи доступ лише для перегляду, строки дії та захист паролем
• Визначати, коли вкладення електронної пошти потребують шифрування, та застосовувати базові практики шифрування для конфіденційних документів
• Розпізнавати ризики тіньового IT, коли колеги використовують несанкціоновані інструменти обміну, та перенаправляти до затверджених альтернатив без порушення робочих процесів
• Верифікувати особу та авторизацію отримувача перед обміном конфіденційними або обмеженими даними із зовнішніми сторонами, включаючи постачальників, партнерів та юридичних консультантів

Практики безпечного обміну файлами — Кроки навчання

1. Насичений тиждень у Catalyst Ventures

   Сьогодні особливо неспокійно — вікно аудиту третього кварталу закривається о 17:00, а зовнішній аудитор досі не отримав фінансовий звіт.

2. Терміновий запит

   Аліса отримує термінове повідомлення від свого менеджера Маркуса Чена в Telegram.

3. Доступ до SecureShare

   Під тиском вимоги вкластися в крайній термін до 17:00, Аліса відкриває портал Catalyst SecureShare, щоб надіслати звіт якомога швидше.

4. Вибір файлу

   Портал SecureShare відображає файли Аліси. Їй потрібно вибрати фінансовий звіт за 3 квартал, щоб надати його аудитору.

5. Налаштування одержувача

   Алісі потрібно ввести адресу електронної пошти аудитора з повідомлення Маркуса.

6. Налаштування швидкого доступу

   З’явиться сторінка конфігурації спільного доступу. Аліса поспішає — вона не задумуючись вибирає найбільш дозволені варіанти: доступ «Повний контроль», видимість «Усі, хто має посилання», «Ніколи» для закінчення терміну дії та натискає «Поділитися».

7. Підтвердження

   Стів підтверджує, що отримав звіт. Дедлайн дотримано, кризу запобігли. Принаймні так думає Аліса.

8. Щось не так

   Через три тижні Аліса приходить на роботу, щоб знайти терміновий електронний лист від команди IT Security. Її живіт опускається, коли вона читає тему.

9. Журнал аудиту

   Аліса натискає посилання на журнал аудиту, боячись, що вона знайде.

10. Що пішло не так

    Три критичні збої перетворили звичайний спільний доступ до файлів у катастрофічний доступ до даних: 1. Повний доступ. Аудитору потрібно було лише переглянути звіт, але Аліса надала Повний доступ , дозволяючи будь-кому, хто має посилання, завантажувати, редагувати або поширювати файл. 2. Без контролю доступу. «Будь-хто, хто має посилання» означає, що будь-хто, хто отримає URL-адресу, може отримати доступ до файлу — автентифікація не потрібна. Посилання було переслано, поширене та зрештою опубліковано для всіх. 3. Немає терміну дії та пароля. Посилання, термін дії якого ніколи не закінчується та не вимагає пароля, є постійним незахищеним шлюзом до конфіденційних даних. Коли він вийшов, його неможливо стримати.